Cyberbezpieczeństwo infrastruktury krytycznej – energetyka na celowniku hakerów

Cyberbezpieczeństwo infrastruktury krytycznej

Cyberbezpieczeństwo infrastruktury krytycznej jest wyjątkowo istotne. Źle zabezpieczona infrastruktura stanowi dla hakerów otwartą drogę do kluczowych usług i informacji warunkujących prawidłowe funkcjonowanie gospodarki oraz państwa. Konsekwencją cyberataku może być nie tylko utrata istotnych danych czy naruszenie poufnych informacji, ale także zakłócenie ciągłości działań operacyjnych, a w konsekwencji straty fizyczne stwarzające ryzyka naruszenia bezpieczeństwa ludzi, finansowe, a także wizerunkowe.

Specjaliści przewidują, że w 2022 r. i latach kolejnych będzie dochodzić do jeszcze częstszych ataków na systemy automatyki przemysłowej (OT/ICS) w różnych gałęziach gospodarki. Na celowniku niestety jest przede wszystkim branża energetyczna. Mamy tu do czynienia z bardzo silnymi motywacjami atakujących – finansową i geopolityczną, a z drugiej strony z dużymi wyzwaniami oraz ograniczeniami operacyjnymi we wdrażaniu cyberbezpieczeństwa infrastruktury krytycznej w sieciach przemysłowych.

Cyberbezpieczeństwo infrastruktury krytycznej, a systemy energetyczne

Cyberbezpieczeństwo infrastruktury krytycznej, takiej jak systemy energetyczne jest o tyle istotne, że atak stanowi na nie stanowi w istocie zagrożenie dla całego państwa. Branża energetyczna jest szczególnie narażona na ataki, ponieważ ma ogromny obszar wpływu. Odcięcie państwa od energii to prosta droga do destabilizacji gospodarki. Należy pamiętać, że słabym ogniwem może być dostawca usług czy serwisu, element łańcucha dostaw lub brak wiedzy i świadomości w zespole. Dbanie o cyberbezpieczeństwo organizacji jest więc działaniem ciągłym na bardzo szeroką skalę, która często stanowi ogromne wyzwanie inwestorów. Nie należy jednak się jej bać, a podejść do cyberochrony, jak do złożonego wieloletniego projektu i zacząć realizować go metodą małych kroków – najważniejsze, aby trafnie określić kierunek oraz priorytety działań.

Ataki na infrastrukturę krytyczną

Jak ważne jest cyberbezpieczeństwo infrastruktury krytycznej pokazały incydenty, które wywołały Blackout w Ukrainie w 2015 r. pozbawiając ok. 230 000 odbiorców dostępu do energii elektrycznej. Do skutecznego ataku wykorzystano szereg taktyk, technik oraz narzędzi. Skorzystano z socjotechniki (phishing) w celu dostarczenia złośliwego oprogramowania BlackEnergy do sieci operatora, następnie przedostano się do sieci OT i zdalnie wyłączono podstacje, a w ostatniej fazie użyto uprzednio przygotowanego oraz osadzonego w sieci oprogramowania utrudniającego szybkie rozwiązanie problemów, np. KillDisk, który uniemożliwił pracę na stacjach roboczych, a także modyfikacje komponentów automatyki ograniczające możliwość zdalnego dostępu.

Innym przykładem jest kampania szpiegowska wymierzona w sieć dystrybucji energii w USA trwająca od 2019 do 2020 roku, gdzie atakujący próbowali na ogromną skalę przełamać słabe hasła do możliwie największej liczby kont. Działania te zostały wykryte przez Microsoft zanim atakujący przedostali się z sieci IT do OT.

Z kolei w maju 2020 roku nastąpił atak z wykorzystaniem ransomware znanego pod nazwą Sodinokibi i REvil na systemy IT firmy Elexon znajdującej się w łańcuchu dostaw brytyjskich systemów energetycznych. W 2021 roku natomiast doszło do unieruchomienia długiego na 9 tys. km rurociągu Colonial Pipeline, który prowadzi ropę z Teksasu do Nowego Jorku. Hakerzy z grupy DarkSide posługujący się złośliwym oprogramowaniem typu ransomware zażądali okupu w Bitcoinach o równowartości 4,4 mln dolarów. Ten atak doprowadził do zatrzymania ruchu na lotniskach i paraliżu stacji benzynowych.

Wspomniane incydenty stanowią jedynie przykłady – podobnych ataków było znacznie więcej, a ich liczba będzie niestety rosnąć.

Kto stoi za atakami?

Motywacje atakujących mogą być finansowe (np. dla ataków ransomware), związane z chęcią uzyskania sławy w swoim środowisku, wynikać z działań ideowych czy stanowić formę zemsty (haktywiści). Najgroźniejsi atakujący to grupy opłacane przez wywiady obcych państw, ponieważ są najsilniej zmotywowane, dysponują prawie nieograniczonymi środkami finansowymi, a ich członkowie posiadają wysokie umiejętności. Te motywacje widać zarówno w liczbie, jak i celach ataków obserwowanych na przestrzeni ostatnich lat.

Istnieją również grupy motywowane jednocześnie kilkoma czynnikami, np. APT38, nazywana Lazarus, a w analizach wiązana z Koreą Północną. Prowadzi ona operacje szpiegowskie, równolegle z działaniami nakierowanymi na uzyskanie zysku finansowego. Podobnie zachowuje się grupa APT41 – Double Dragon, wiązana w analizach z Chinami.

Cyberbezpieczeństwo infrastruktury krytycznej a normy dla OT/ICS

Istnieją dobre praktyki i obowiązki, których należy przestrzegać, aby zapewnić odpowiednie cyberbezpieczeństwo infrastruktury krytycznej. Wiele z nich określa już sama ustawa o KSC oraz dokument „Standardy i dobre praktyki ochrony infrastruktury krytycznej” wydany przez Rządowe Centrum Bezpieczeństwa. Dla właścicieli systemów ICS niezwykle istotny jest również standard IEC-62443, czyli międzynarodowa seria norm określająca zasadnicze wymagania w zakresie zapewniania bezpiecznej eksploatacji systemów automatyki przemysłowej. Istotną jest również norma ISO 27001, która szczegółowo opisuje wymagania dotyczące ustanawiania, wdrażania, utrzymywania, monitorowania i doskonalenia systemów zarządzania bezpieczeństwem informacji w organizacjach. W połączeniu dokumenty te stanowią kompleksowy wyznacznik działań, które należy podjąć, w celu zwiększenia poziomu bezpieczeństwa firmy oraz zminimalizować ryzyko cyberataków.

Cyberbezpieczeństwo infrastruktury krytycznej stanowi wyzwanie dla firm

Regulacje prawne dotyczące cyberbezpieczeństwa infrastruktury krytycznej stanowią dla firm spore wyzwanie, przynajmniej z kilku powodów. Należy pamiętać, że instalacje przemysłowe charakteryzują się bardzo długim czasem życia, czyli eksploatację planuje się na okres powyżej 15–25 lat, co znacząco różni się od obszaru IT, gdzie średni cykl życia rozwiązania wynosi ok. 5 lat. W związku z tym dostawcy usług kluczowych często budują swoje systemy latami i mają wysoki poziom tzw. długu technologicznego. Drugim powodem jest harmonogram czasowy dla osiągnięcia pewnych celów. Wdrożenie samego monitorowania (niskopoziomowo, czyli blisko procesu) w wielu firmach jest procesem skomplikowanym i może trwać bardzo długo, nie wspominając o zmianach wprowadzanych na poziomie kompetencji, procedur czy nawyków. Trzeci powód to luka kompetencyjna pomiędzy ludźmi z IT, a osobami z automatyki przemysłowej, czyli odpowiedzialnymi za utrzymanie ruchu. Wyzwaniem jest uzupełnienie wiedzy w obu obszarach i praca w zespołach mających interdyscyplinarne umiejętności oraz doświadczenie.

Zabezpieczenia infrastruktury u podstaw

Fundamentalną kwestią w procesie budowania cyberbezpieczeństwa infrastruktury krytycznej jest architektura systemu i sieci. Prawidłowo zaprojektowana, czyli dopasowana do potrzeb, uwzględniająca kaskadę odpowiednich zabezpieczeń oraz zbudowana z elementów przeznaczonych do środowiska przemysłowego, będzie ułatwiała realizację zakładanych działań, nie stanowiąc niepotrzebnego obciążenia i nie wprowadzając ryzyka wystąpienia cyberataków. Architektura systemu powinna od razu uwzględniać aspekty cyberbezpieczeństwa, co jest rekomendowane m.in. w normie IEC 62443. Przykładowo, sieci oparte na standardzie Ethernet można zabezpieczać już na podstawowym poziomie poprzez wykorzystanie funkcjonalności dostępnych w zarządzalnych przełącznikach LAN. Mowa tu przede wszystkim o kontroli dostępu na poziomie portów i segmentacji sieci w oparciu o VLAN-y.

Segmentacja zgodna z IEC 62443 polegająca na podziale na strefy i kanały powinna być uwzględniona na etapie projektowania architektury sieci lub jej modernizacji. W praktyce jednak zdarza się, że istnieje potrzeba zabezpieczenia systemów już zrealizowanych, które nie zostały zaprojektowane w zgodzie z dobrymi praktykami i standardami cyberbezpieczeństwa.

Systemy przemysłowe bardzo często działają miesiącami, a nawet kilka lat bez przerwy, co oznacza, że wszystkie urządzenia towarzyszące, sterujące, wykonawcze pracują bez wyłączeń przez długi okres czasu. Tu nie ma miejsca na regularne i częste przerwy serwisowe umożliwiające, np. aktualizację oprogramowania. Mając to na uwadze, tego typu działania należy planować w oknach przestojów, ale niezależnie wdrażać inne środki zabezpieczeń.

Kolejne wyzwanie stanowi zdalny dostęp. Proces utrzymania czy serwisu jest bardziej ekonomiczny, jeżeli praca, którą należy wykonać, może zostać realizowana zdalnie i nie generować kosztów oraz opóźnień związanych z koniecznością dojazdu i fizycznego dostępu do obiektu. Część biznesowa wymaga również komunikacji „do góry”, czyli centrali. W związku z tym dostęp zdalny – bezpieczny kanał inżynierski – jest potrzebny. Najlepiej gdyby był scentralizowany, z jednym punktem dostępu, z możliwością zapisu sesji, pełnej kontroli dostępu i powiązania ze zleceniem na wykonanie konkretnego zadania.

Ekspozycja do Internetu jest kolejnym istotnym zagadnieniem. W celu dobrego planowania elementów utrzymania procesów biznesowych zapotrzebowanie na informacje z systemów OT stale rośnie, dlatego obszary IT/OT coraz częściej się łączą. Styk pomiędzy siecią OT i IT połączoną z Internetem musi być odpowiednio zabezpieczony i ściśle monitorowany. Obecnie na rynku dostępne są już zapory ogniowe umożliwiające filtrowanie zarówno ruchu IT, jak i OT.

Wszystkie wspomniane elementy razem stanowią ogromne wyzwanie. Dobre praktyki mówią, że w celu zapewnienia bezpiecznej komunikacji systemów w tych newralgicznych obszarach powinno się wykorzystać VPN-y, stworzyć tzw. strefy zdemilitaryzowane DMZ-OT z systemami zapewniającymi uwierzytelnianie wieloskładnikowe (MFA), a także stacje przesiadkowe.

Analiza ryzyka, inwentaryzacja i ciągłe monitorowanie

Dbanie o cyberbezpieczeństwo infrastruktury krytycznej w branży energetycznej wiąże się z zarządzaniem ryzykiem w organizacji, zarządzaniem kryzysowym oraz ciągłością biznesu. Organizacje powinny zacząć od określenia obszarów wpływu realizowanych procesów, ustalenia ryzyka i tzw. apetytu na ryzyko, czyli poziomu ryzyka do którego chcą sprowadzić prawdopodobieństwo wystąpienia określonych zdarzeń. Ten poziom nigdy nie jest zerowy, ale warunkuje nakłady finansowe, wysiłek oraz sposób ochrony przed cyberzagrożeniami. We wspomnianych działaniach mogą pomóc narzędzia, które na bazie danych z systemów monitorujących, znanych zagrożeń i wektorów dla danej branży czy obszaru geopolitycznego, pomagają wskazywać największe obszary ryzyka. Przykładem takiego rozwiązania jest system CIARA firmy RadiFlow, który automatyzuje ocenę ryzyka zgodnie z normą IEC 62443 oraz wspomaga planowanie wdrażania zabezpieczeń.

Realizacja cyberbezpieczeństwa infrastruktury krytycznej to proces odbywający się w zmiennym środowisku. Zabezpieczenia powinny być budowane według koncepcji defence-in-depth, czyli wprowadzania wielu warstw ochrony. Oczywiście zabezpieczenia powinny odpowiadać określonemu poziomowi ryzyka dla danej strefy bezpieczeństwa. Proces analizy ryzyka można łatwo zoptymalizować, zaczynając od wykonania dokładnej inwentaryzacji sieci, w wyniku której powstaje obraz infrastruktury – rzeczywisty i szczegółowy, zawierający pełną listę urządzeń, wykorzystywanych protokołów czy połączeń logicznych oraz fizycznych.

Z punktu widzenia ustawy o KSC operatorzy usług kluczowych mają obowiązek identyfikować i reagować na incydenty z wykorzystaniem systemów ciągłego monitorowania. Istotne jest, aby systemy klasy IDS dla OT identyfikowały oraz interpretowały protokoły przemysłowe stosowane w energetyce, takie jak IEC 61850 MMS, GOOSE, IEC 104, DNP3, s7, Modbus TCP, ICCP, OPC UA itp. Przykładem takiego rozwiązania jest system wykrywania zagrożeń Radiflow iSID, który w sposób pasywny monitoruje sieć oraz buduje bazę inwentaryzacji urządzeń i połączeń.

Oczywiście system, nawet najlepszy, jest tylko narzędziem i musi być poprawnie wdrożony, żeby prawidłowo spełniał swoje zadanie. Warto mieć to na uwadze i patrzeć na oferenta nie tylko przez pryzmat „dostawcy”, ale także jego kompetencji oraz doświadczenia we wdrażaniu odpowiednich narzędzi w systemach produkcyjnych. W aspekcie monitorowania i wdrażania narzędzi, które je realizują pojawia się wiele problemów. Aby system monitorowania był przydatny i spełniał swoje zadanie wymaga pracy w zespole – specjalisty automatyka znającego system sterowania oraz specjalisty ds. bezpieczeństwa. Samo zainstalowanie rozwiązań, nawet realizujących tzw. analizę behawioralną, nie będzie wystarczające. Systemy monitorujące na podstawie algorytmów (behavioral) i reguł (rule based/policy based) kwalifikują zdarzenia, ale to człowiek musi dopasować systemy do danej sieci – nauczyć się, które z tych zdarzeń są False Positive/False Negative, interpretować je i decydować, jak zareagować. Potrzebna jest tu wiedza i odpowiednia kwalifikacja incydentu – czy to co się dzieje jest niepokojące ? Czy można to odseparować lub wyłączyć? Jaki ma to wpływ na proces, jako całość?

Cyberbezpieczeństwo infrastruktury krytycznej wiąże się z kosztami

W ostatnich latach można zaobserwować problemy pojawiające się na etapie planowania wydatków z budżetu przeznaczonego na minimalizację cyberryzyka, aby zrealizować inwestycję w możliwie efektywny (również ekonomicznie) sposób – z jakiego typu narzędzi skorzystać, w jakiej kolejności je wdrażać i jakie przyjąć kryteria wyboru dla konkretnego rodzaju narzędzia. W specyfikacje techniczne rozwiązań wpisane są często zbiorczo wszystkie możliwe funkcjonalności dostępne u różnych dostawców, które zupełnie nie mają istotnego znaczenia w realnym zwiększeniu bezpieczeństwa w konkretnym przypadku, a znacząco wpływają na wzrost kosztów. Decyzje o zakupach – wymuszone czasem lub procedurami – podejmowane są w nieodpowiedniej kolejności albo narzędzia wdrażane są na zbyt wczesnym etapie, np. do sieci, która wymaga przede wszystkim segmentacji. W przyszłości może to skutkować koniecznością powielenia inwestycji lub jej gruntownej modyfikacji.

Dobór narzędzi i ich funkcjonalności powinien być dyktowany konkretnymi potrzebami i ograniczeniami organizacji oraz projektu w perspektywie krótko oraz długoterminowej. Bezpieczeństwo to proces, w związku z tym będzie generowało koszty zarówno z perspektywy CAPEX (koszty zakupu), jak i OPEX (koszty operacyjne). Istotne jest, aby realizowana inwestycja w bezpieczeństwo możliwie najbardziej skutecznie minimalizowała ryzyko.

Brak wiedzy i doświadczeń w zakresie narzędzi przeznaczonych dla OT skutkował do niedawna lobbowaniem przewag funkcjonalnych niektórych dostawców jako przewag uniwersalnych, a to w bezpieczeństwie nie jest regułą. Rozwiązania wdrażane są w konkretnym środowisku i dla konkretnej organizacji, a co za tym idzie wiele cech nie będzie uniwersalnie lepszych czy gorszych, ponieważ będzie to zależeć od budżetu, architektury czy kompetencji zespołu, który ma z nich korzystać.

Krok przed hakerem

Należy być gotowym na coraz większą liczbą cyberataków. Na szczęście istnieje już szereg narzędzi umożliwiających skuteczną ochronę systemów energetycznych oraz innych obszarów infrastruktury krytycznej. Pamiętając, że skuteczna ochrona zaczyna się od świadomości o ryzyku, warto stale edukować się w zakresie cyberbezpieczeństwa. Wyzwań jest wiele, ponieważ proces jest bardzo wielowątkowy i wymagający, więc patrzenie przez pryzmat precyzyjnych celów oraz analizy typu „5 why” są tu drogą, która znacząco ułatwia podejmowanie decyzji.

CyberTeam Tekniska pracuje nad serią publikacji Sztuka CyberWojny – pierwsza odsłona opisuje problematykę ransomware jako jednego z najczęstszych typów ataków, również w infrastrukturze krytycznej. Z publikacją można zapoznać się TU.